Die Illusion von Sicherheit

Linux ist sicherer als Windows. Das ist ein gern geschwungenes Mantra, mit dem gegen das weit verbreitete Windows ins Feld gezogen wird. Da ist es irgendwie blöd, wenn auf Android-Telefonen — das ist bei genauerer Betrachtung ebenfalls ein Linux — zunehmend die moderne Geißel der Menschheit einzieht: Software-Viren.

Wenn Linux sicher wäre, bräuchte es dort keine Virenscanner. Gibt es aber. Zumindest im meistverbreiteten Linux: Android. Daraus lässt sich eine Korrelation ableiten: Software-Viren gibt es, wenn es sich lohnt. Für ein paar Geeks, die auf einem der vielen Desktop-Linux-Varianten arbeiten, ist der Aufwand für einen Virus zu hoch. Allein schon, weil diese Mädels und Jungs ihr System tatsächlich sicher bekommen. Denn viele davon wissen (meist), was sie tun und — sehr wichtig — lassen müssen.

Der reine Benutzer, also die Heerscharen der App-herunterladenden Android-Anwender, sind da lohnender. Sowohl aufgrund deutlich geringerer Kompetenzen, als auch verbreiteter Sorg- und Ahnungslosigkeit und letztendlich: weil es sich aufgrund der Masse lohnt. Das wird gleichermaßen für alle Linux-Varianten gelten, die eine gewisse Verbreitung erreichen. Serverangriffe oder gehackte Webseiten fallen schon darunter, weil sie eine ordentliche Anwenderbasis haben. Das lohnt sich. Arch, Debian, Fedora, Gentoo, Mageia, Mint, Open Suse, Slackware, Ubuntu und (rechnerisch) ein paar hundert unterschiedliche Desktops machen sich aufgrund ihrer Vielfalt unattraktiv für Angreifer. Das macht sich jedoch bestimmt nicht sicherer.

Es ist allenfalls eine Frage des Szenarios. Wenn ein Wissenschaftler auf einem (willkürlich herausgegriffenen) Mageia eine Open Source Lösung für das Hunger-Problem der Welt hat, würde es sich für einen Saatguthersteller sogar der Angriff auf einen einzelnen Rechner lohnen. Die Wahrscheinlichkeit ist gering, dass das Bio-Genie gleichzeitig ein Mageia-Guru ist, also wäre das mutmaßlich größte Problem, wie man gezielt an beziehungsweise auf den Rechner kommt. In Zeiten sozialer Netzwerke, Twitter, NSA, etc. allerdings für jemanden mit einer leidlich gefüllten Portokasse und hinreichend krimineller Energie, … — Pardon: wirtschaftlichen Interessen, die geschützt werden müssen, ist das (um es mit den Worten eines ehemaligen Bundesbänkers zu sagen) Peanuts. Das müsste gar nicht so brachial ablaufen, wie es der Nebenstrang von Unknown Identity zeichnet.

Sicherheit durch Minderheit funktioniert im richtigen Leben nicht, weshalb sollte das bei Betriebssystemen gelten. Insbesondere, da letztendlich immer ein durchgängiger, bereits angedeuteter Schwachpunkt im Spiel ist: Der Anwender. Niemand will und kann sich bis auf Bit-Ebene mit seinem Betriebssystem auseinander setzen und die darin schlummernden Gefahren erkennen und abwehren. Dann sind wir definitiv alle nur noch mit uns selbst beschäftigt, was mit dem Siegeszug der Smartphones sowieso schon bedenklich zugenommen hat.

Die Diskussionen über das bessere Betriebssystem sind in meinen Augen moderne Glaubenskriege, die — unter humanistischem Blickwinkel betrachtet — immerhin unblutig ausgefochten werden. Wenn sich aber jemand hinstellt und behauptet, etwas sei vollkommen sicher oder systembedingt nicht kompromitierbar, der sollte einfach mal über die Unsinkbarkeit der Titanic, Kindern die trotz Pille geboren werden, Rente, Spareinlagen, OpenSSL-Verschlüsselung, etc. nachdenken. Jede von einem Menschen als unüberwindlich aufgestellte Hürde wurde bisher, oft signifikant schneller als prognostiziert, von anderen Menschen überwunden.

Sicherheit wird nicht durch höhere Zäune erreicht. Die führen nur permanent vor Augen, wie unsicher man sich fühlt. Aus Sicht eines Angreifers sind besser gesicherte Anwesen attraktiver. Denn wo nix drin ist, macht man keinen Zaun drum. Wenn dann noch die Tür offen steht,… .

Wenn es dann den Nachbarn freut, dass dort eingebrochen wurde, ist das allerdings die falsche Reaktion. Statt Nabelschau ist Teamwork angesagt. Wenn wir alle ein bisschen auf unsere Mitmenschen aufpassen, dann bringt das erheblich mehr, als jede Alarmanlage. Die quäckt zwar nervtötend (gerade hier geschehen, so kommt man zu seinen schrägen Gedanken), aber keinen interessiert´s. Dass ist das Problem.